Splunk 검색 - 시간 연산자 이용하기

1. 시간 연산자

Splunk 검색 시 원하는 시간 범위안에 있는 로그를 출력한다.

 

시간 범위를 설정하는 이유가 무엇인가요?

시간 범위 설정은 매우 중요하다. 문제가 발생했을 때 문제가 발생한 시간 범위에서 검색을 수행하면 연관성을 쉽게 찾을 수 있고 결과도 빠르게 찾을 수 있기 때문이다.

 

1) 시간 설정 방법

검색창 옆에 있는 버튼을 누르면 원하는 시간대로 설정할 수 있다.

 

2) 미리 설정

많은 시간 범위가 저장되있어서 해당 항목중 하나를 선택해서 시간을 설정하는 방법이다.

 

 

3) 날짜 범위 및 날짜 시간 범위

날짜 범위 지정은 특정 날짜 이전, 이후, 사이를 선택하여 지정한다.

검색 시간은 시작일 00시부터 종료일 24시까지 지정된다.

 

 

날짜 및 시간 범위는 특정 날짜의 시간대까지 설정하여 좀더 세부적으로 로그를 확인할 때 사용한다.

 

 

해당 시간을 검색으로 지정하려면 아래와 같이 입력한다.

해당 검색어는 2020.07.23 18:20 ~ 2020.07.23 18:30분까지의 로그를 출력한다.

earliest 속성만 추가했을 경우 latest 속성은 검색 시간으로 자동으로 설정된다.

earliest=07/21/2020:18:20:00 latest=07/21/2020:18:30:00

 

 

4) 상대 시간 설정 방법

상대 시간을 사용하면 시간 차이를 이용하여 검색 시간을 지정할 수 있다.

상대 시간을 지정하는 구문은 아래와 같다.

@문자로 시작을 지정하면 반내림을 수행한다.

[+|-] <시간_정수><시간단위>@<시간단위>

 

아래의 검색 결과는 72시간 이전부터 현재의 로그를 출력하라는 뜻이다.

만약 현재 시간이 23일 11:37분이라면 72시간 이전의 20일 11:37분부터 시작하는것이 아닌 @에의한 반내림이 수행되었기 때문에 70시간 이전의 20일 11:00분부터 시작된다.

earliest=-70h@ latest=now

 

 

그 이외에도 일, 주, 요일 형태로 검색이 가능하다.

earliest=-w@w latest=@w
earliest=-d@d latest=@d
earliest=-mon@mon latest=@mon

 

 

5) 시간단위 키워드

시간단위	사용 키워드
초	s, sec, secs, second, seconds
분	m, min, minute, minutes
시간	h, hr, hrs, hour, hours
일	d, day, days
주	w, week, weeks
개월	mon, month, months
분기	q, qtr, qtrs, quarter, quarters
년	y, yr, yrs, year, years